НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
ІКТА
кафедра ЗІ
Курсова робота
на тему:
«Проведення аудиту системи менеджменту інформаційної безпеки»
План
Вступ.
Підготовка аудитора.
Вступна нарада.
Документи на аудит.
Методика аудиту.
Оцінка аудиту, звітність.
Висновок.
Література.
1.Вступ
Аудит інформаційної безпеки – це системний процес одержання об'єктивних якісних і кількісних оцінок поточного стану безпеки інформаційної системи або інформаційно-телекомунікаційної системи, комплексна оцінка рівня інформаційної безпеки замовника з урахуванням трьох основних факторів: персоналу, процесів та технологій. Порівняльний аналіз поточного стану інформаційної системи, що визначається за підсумками анкетування, з тестовою моделлю вимог стандарту ISO 27001.
Проведення аудиту та надання інших аудиторських послуг здійснюється аудиторами, аудиторськими фірмами, які набули права на здійснення аудиторської діяльності відповідно до Закону України «Про аудиторську діяльність».
Аудитором може бути фізична особа, яка має сертифікат, що визначає її кваліфікаційну придатність на заняття аудиторською діяльністю на території України.
Згідно міжнародного стандарту ISO/IEC 27006 -2008 керівництво органу сертифікації повинно провести необхідні процедури та ресурси для визначення компетентності окремих аудиторів щодо завдань, які вони повинні виконати в області сертифікації, в рамках якої вони діють. Компетентність аудиторів може бути встановлена на основі підтвердженого досвіду чи спеціального навчання або шляхом співбесіди.
2. Підготовка аудитора
Підготовка аудитора полягає у його обізнаності в сфері проведення сертифікації.
Для якісної оцінки аудитор повинен бути перевірений на: - знання стандарту СМІБ та інших відповідних нормативних документів;
розуміння питань інформаційної безпеки;
- розуміння оцінки ризику та менеджменту ризику з точки зору діяльності;
- технічні знання про діяльність, що підлягає аудиту;
- знання систем менеджменту;
- загальне знання нормативних вимог щодо СМІБ;;- розуміння принципів аудиту, заснованих на ИСО 19011:2002;- знання аналізу ефективності СМІБ та вимірювання ефективності засобів контролю.
При необхідності аудиторська група може доповнятись технічними експертами, які повинні володіти спеціальними знаннями в області технології, що підлягає аудиту. Необхідно зазначити, що технічних експертів не можна використовувати замість аудиторів СМІБ. але вони можуть консультувати аудиторів з питань технічної адекватності в контексті системи менеджменту, яка піддається аудиту.
3. Вступна нарада
На вступній нараді оголошуються етапи робіт,які проводитиме
аудитор ,а саме:
· обстеження об’єкту сертифікації;
· аналіз інформаційних ризиків;
· обробка даних та підготовка рекомендацій;
· складення та надання звіту про аудит.
Встановлюються області проведення аудиту,інформація до якої аудитор має право доступу,термін проведення сертифікації.
4. Документи на аудит
Орган сертифікації повинен надати кожній зі своїх організацій-клієнтів, чия СМІБ сертифікується, документи з сертифікації, як лист або сертифікат, підписаний уповноваженою посадовою особою. Для організації-клієнта і кожної з її сертифікованих інформаційних систем ці документи повинні визначати область дії сертифікації та складу стандарту ISO / IEC 27001 по СМІБ , за яким ця СМІБ сертифікована. Крім того, в сертифікаті має бути посилання на певну версію Положення про застосування.Список сертифікованих клієнтів. Застосовуються вимоги ISO / IEC 17021:2006. Посилання на сертифікацію та використання маркування.Застосовуються вимоги ISO / IEC 17021:2006. Крім того, застосовуються ще деякі специфічні для СМІБ вимоги і положення.
Доступ до документів організації
Перед проведенням аудиту орган сертифікації повинен зробити запит організації-клієнта про наявність документів про СМІБ , які не можуть бути надані для перевірки аудиторської групи, так як вони містять конфіденційну або секретну інформацію. О...